Zentrum für Informationssicherheit

Transkript

1 SEMINARE 2015 Zentrum für Informationssicherheit Webanwendungssicherheit Webanwendungssicherheit und Penetrationstests Webanwendungssicherheit-Workshop Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme Cyber Akademie (CAk) ist eine eingetragene Marke

2 Webanwendungssicherheit Webapplikationen bzw. Websites allgemein stellen eine sehr beliebte Angriffsmöglichkeit für Hacker und Kriminelle dar, um in die IT-Infrastruktur einer Organisation einzudringen. Zum einen hängt dies mit den zum Teil sehr fehleranfälligen verwendeten Technologien zusammen. Des Weiteren sind viele Webapplikationen quasi Individualanfertigungen mit entsprechend begrenzten Möglichkeiten zur Qualitätssicherung. Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffsvektoren und Schutzmaßnahmen erforderlich. Die Cyber Akademie führt dazu drei Seminare für unterschiedliche Zielgruppen mit verschiedenen Detailtiefen und Schwerpunkten durch: Webanwendungssicherheit und Penetrationstests bietet innerhalb einen Tages eine kompakte Einführung in das Thema. Die Teilnehmer erhalten einen Überblick über die häufigsten Sicherheitslücken bei Webanwendungen, geeignete Schutzmaßnahmen sowie Möglichkeiten zur Durchführung von Penetrationstests. Der dreitägige Webanwendungssicherheit-Workshop richtet sich an Teilnehmer mit Kenntnissen im Bereich HTTP bzw. Webtechnologien, welche unter Anleitung von Experten praktische Erfahrungen bezüglich Penetrationstests zum Erkennen von Lücken und Schutzmaßnahmen gewinnen wollen. Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme legt den Fokus auf die Ausschreibung bzw. die Entwicklung von Webapplikationen im Auftrag von Behörden. Nach einer Einführung in die Sicherheitslücken wird im zweitägigen Seminar vermittelt, welche IT-Sicherheitsanforderungen bei einer Vergabe von Webanwendungsentwicklungen berücksichtigt werden sollten. Weiterhin wird erläutert, wie deren Einhaltung bei Projektabwicklung und Abnahme überprüft und ein sicherer Software-Entwicklungs-Prozess (Secure Development Lifecycle) implementiert werden kann. Ausführliche Informationen zu den Seminaren erhalten Sie auf den folgenden Seiten. 2

3 Webanwendungssicherheit und Penetrationstests Zielsetzung Die Teilnehmer des Seminars erhalten einen allgemeinverständlichen und umfassenden Überblick über die spezifischen Angriffsmöglichkeiten, welchen Webanwendungen ausgesetzt sind. Anhand von praktischen Beispielen und Demonstrationen werden die Lücken mit den höchsten Risiken und der größten Verbreitung sogenannte OWASP Top 10 (Open Web Application Security Project) erläutert. Aus Zeit- und Effizienzgründen werden keine Hands-On-Übungen durchgeführt. Es werden jedoch praktische Empfehlungen gegeben, wie die Teilnehmer im Nachgang auf Basis kostenfreier Test-Werkzeuge autark entsprechende Penetrations-Übungen selbst durchführen können. Referent Tobias Glemser, Geschäftsführer der secuvera GmbH, verfügt über langjährige Erfahrung im Bereich Sicherheitsüberprüfungen und Penetrationstests. Er ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Glemser ist Mitglied des German Chapter Boards des Open Web Application Security Project (OWASP) und hauptverantwortlich für die Erstellung des OWASP-Whitepapers Projektierung der Sicherheitsprüfung von Webanwendungen. Seit vielen Jahren ist Herr Glemser sowohl im Rahmen technischer Audits als auch in BSI-Grundschutzprojekten im Behördenumfeld tätig. Zielgruppe IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, Datenschutzbeauftragte. termine und orte 10. September 2015, Köln 24. November 2015, Berlin Preis 490, Euro zzgl. MwSt. 3

4 Webanwendungssicherheit und Penetrationstests THEMENÜBERBLICK: 9:30 17:00 Uhr Einführung in relevante Organisationen (OWASP, WASC) und Vorgehensweisen (Source-Code-Analyse, Penetrationstests) Beispiele in der öffentlichen Wahrnehmung Die zehn häufigsten Sicherheitsrisiken bei Webanwendungen: OWASP Top 10 (u. a. SQL-Injection, Cross-Site-Scripting, CSRF, Denial-of-Service) Interaktive Demonstrationen zu allen Risiken Aufzeigen der Auswirkungen Passende Beispiele mit realem Bezug Vorstellung von Prüfwerkzeugen und Methoden bei der Prüfung Vorstellung des Bausteins Webanwendungen aus dem IT-Grundschutz des BSI OWASP = Open Web Application Security Project WASC = Web Application Security Consortium 4

5 Webanwendungssicherheits-Workshop Zielsetzung Nach einem kurzen Überblick zu Webtechnologien erfahren die Teilnehmer anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind. Mittels entsprechender Tools führen die Teilnehmer selbst an bereitgestellten PC-Arbeitsplätzen Penetrationstests durch, erlernen auf praktische Weise das Erkennen von Lücken sowie Angriffsvektoren und kennen nach dem Workshop die technischen Möglichkeiten zur Absicherung von Webanwendungen. Zielgruppe IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, CERT-Personal, IT-Sicherheitsbeauftragte trainer Tobias Elsner ist als IT Security Resulter GmbH im Schwerpunkt für die Planung und Durchführung von IT-Sicherheitsüberprüfungen verantwortlich. Er verfügt über mehr als 14 Jahre Erfahrung als IT-Berater in den Bereichen IT-Infrastruktur, IT-Security und Servervirtualisierung und verfügt über die Qualifikation EC Council Certified Ethical Hacker. Grundkenntnisse im Bereich HTTP bzw. Webtechnologien werden vorausgesetzt. termine und orte Oktober 2015, Frankfurt a. M. Preis 1.420, Euro zzgl. MwSt. 5

6 Webanwendungssicherheits-Workshop THEMENÜBERBLICK: 1. Tag, 13:00 18:00 Uhr Grundlagen der Webtechniken Webserver: Apache, Tomcat & Co. HTML, CSS Skriptsprachen: PHP, Perl, Python, Ruby Java-Servlets und JSP Datenbanken Ajax, Javascript, HTML5 Schwachstellen von Webanwendungen Teil 1 Information Disclosure Path-Traversal Authorization Header Manipulation / Header Poisoning SSL-Stripping Website-Spoofing, SSL-Website-Spoofing THEMENÜBERBLICK: 2. Tag, 8:30 17:00 Uhr Schwachstellen von Webanwendungen Teil 2 File-Upload Buffer-Overflows Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS Session-Hijacking, Session-Fixation Cross-Site Request Forgery (CSRF) / Session Riding Frame-Spoofing, Link-Spoofing Clickjacking / Der X-FRAME-OPTION Response-Header SQL-Injection, Advanced SQLI, Blind SQL-Injection Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection Privilege Escalation Insecure Direct Object Reference 2nd Order Code-Injection THEMENÜBERBLICK: 3. Tag, 8:30 15:00 Uhr: Gegenmaßnahmen Webserversicherheit Verschlüsselung Sicheres Programmieren Sichere Datenbankanwendung Auffinden von Schwachstellen Manueller Code-Review/Code-Check Toolgestützte Untersuchung des Quellcodes Pentests gegen Webapplikationen Tools Vorstellung von Tools, wie z. B. nikto, skipfish, burp, dirbuster, sqlmap, CSRFGuard 6

7 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme Mit Webanwendungen können Behörden und Unternehmen moderne Dienstleistungen für Bürger und Kunden bereitstellen. Um aber auch dem spezifischen Schutzbedarf gerecht zu werden, sollten entsprechende IT-Sicherheitsvorgaben zur Konzeption, Umsetzung und zum Betrieb von Webanwendungen rechtzeitig im Rahmen der Vergabe oder des Entwicklungsprojekts eingebracht werden. Zielsetzung Das Seminar zeigt die spezifischen Sicherheitslücken in Webanwendungen auf. Anhand von Praxisbeispielen werden die Grundlagen für Beauftragung, Projektierung, Entwicklung und Abnahme sicherer Webanwendungen vermittelt. Die Teilnehmer werden befähigt, IT-Sicherheitsanforderungen nach dem Stand der Technik in Projektplanungen und Vergabeunterlagen zu integrieren, die Eignung potentieller Auftragnehmer anhand von Leistungskriterien bereits vor dem Projektstart zu bewerten, die Leistungen von Auftragnehmern während Vergabe und Projektumsetzung anhand von Quality Gates zu bewerten, IT-Sicherheitsanforderungen im Entwicklungsprozess zu implementieren und umzusetzen, den Reifegrad des Prozesses zu bestimmen und zu erhöhen, den Abnahmeprozess für Webanwendungen durchzuführen. Die Seminarinhalte orientieren sich dabei an den entsprechenden Leitfäden des BSI. Zielgruppe Auftraggeber in der öffentlichen Verwaltung (technischer Einkauf, Projektmanager, QS), Projekt-, Fach- und IT-Sicherheitsverantwortliche in Behörden, Unternehmen, die im Auftrag Webanwendungen entwickeln (Projektmanager, SW-Entwickler, ) Referent Amir Salkic, MsC Informationsmanagement und Computersicherheit, ist Security Consultant bei der SEC Consult Unternehmensberatung GmbH und berät nationale wie internationale Kunden in den Themen Informationssicherheit, Awareness und Applikationssicherheit. Herr Salkic verfügt über umfangreiche Erfahrungen aus Projekten für Behörden und Unternehmen und hat an den BSI-Leitfaden zur Entwicklung sicherer Webanwendungen mitgewirkt. termine und orte Oktober 2015, Berlin Preis 890, Euro zzgl. MwSt. 7

8 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme THEMENÜBERBLICK: 1.Tag, 11:00 17:30 Uhr Einleitung Rückblick auf erfolgreiche Hacks Brechen mit bekannten Mythen Kategorisierung von Angreifern Vorgehensweisen von Angreifern (Demonstration) Definition von Sicherheit Sichere Softwareentwicklung Was ist ein sicherer Entwicklungsprozess (Secure Development Lifecycle SDL)? Umsetzung eines SDL s in einem Unternehmen Roadmaps als Unterstützung bei der Umsetzung Angemessene Sicherheit definieren Naheliegende Aktionsmöglichkeiten ( Low Hanging Fruits ) erkennen Erstellen von Sicherheitsrichtlinien Vergabephase Ausschreibungsverfahren von Webanwendungen Leistungskriterien und Quality Gates Bewertung von Auftragnehmern Bewertung anhand von Reifegraden Bestimmung des Schutzbedarfs einer Webanwendung SDL-Aktivitäten, -Umsetzung, Abnahmekriterien Durchführen einer Anforderungsanalyse Erstellen eines Sicherheitsprojektplans Erstellen einer Datenbehandlungsstrategie Erstellen von Abuse Cases THEMENÜBERBLICK: 2.Tag, 8:30 15:00 Uhr SDL-Aktivitäten, -Umsetzung, Abnahmekriterien (Fortsetzung) Erstellen einer Sicherheitsarchitektur Durchführen einer Bedrohungsmodellierung Software-Sicherheits-Metriken Sicherer Umgang mit Sourcecode Secure Coding Standards Überblick über Testverfahren (Design Review, Code Review, Penetrationstest, etc.) sichere Auslieferung von Software Plattformhärtung Änderungsmanagement Security Response Vorgaben an die Implementierung Design-Prinzipien Datenvalidierung Kryptografie Authentisierung und Sessions Datenhaltung und -transport Abschlussdiskussion und individuelle Fragestellungen 8

9 Anmeldung Fax-Anmeldung an: +49(0) Online-Anmeldung unter: Ich nehme an folgendem(n) Seminar(en) teil: Webanwendungssicherheit und Penetrationstests 24. November 2015, Berlin Webanwendungssicherheits-Workshop Oktober 2015, Frankfurt a. M. zum Preis von jeweils 490, Euro zzgl. MwSt. zum Preis von jeweils 1.420, Euro zzgl. MwSt. Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme Oktober 2015, Berlin zum Preis von jeweils 890, Euro zzgl. MwSt. Firma/Behörde*: Abteilung*: Funktion*: Vorname*: Name*: Straße*: PLZ*: Ort*: Personalisierte *: Ort/Datum/Unterschrift: Freiwillige Angaben Telefon: Fax: Die mit* gekennzeichneten Felder sind für eine Anmeldung unbedingt erforderlich. Ansprechpartnerin für organisatorische Fragen: Julia Kravcov, Veranstaltungsmanagement Tel.: +49(0) , Fax: +49(0) , Eine Anmeldung mit diesem Formular oder unter ist Voraussetzung für die Teilnahme. Die Teilnahmegebühr versteht sich zzgl. gesetzlicher Mehrwertsteuer und beinhaltet Mittagessen, Erfrischungs- und Pausengetränke und die Dokumentation/Tagungsunterlagen. Die Teilnehmerzahl ist begrenzt. Zusagen erfolgen deswegen in der Reihenfolge der Anmeldungen. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung per und eine Rechnung per Post. Bei Stornierung der Anmeldung bis zwei Wochen vor Veranstaltungsbeginn wird eine Bearbeitungsgebühr in Höhe von 100, Euro zzgl. MwSt. erhoben. Danach oder bei Nicht erscheinen des Teilnehmers wird die gesamte Tagungsgebühr berechnet. Selbstverständlich ist eine Vertretung des angemel deten Teilnehmers möglich. Mit dieser Anmeldung erkläre ich mich mit den Allgemeinen Geschäftsbedingungen des Veranstalter einverstanden: siehe unter: 9